Los ataques de phishing laterales, estafas dirigidas a usuarios de cuentas de correo electrónico comprometidas dentro de una organización, se están convirtiendo en una preocupación creciente en los EE. UU.
Mientras que en el pasado los atacantes enviaban estafas de phishing desde cuentas de correo electrónico externas a una organización, recientemente ha habido una explosión de estafas transmitidas por correo electrónico en las que los atacantes comprometen las cuentas de correo electrónico dentro de las organizaciones, y luego usan esas cuentas para lanzar correos electrónicos internos de phishing acompañeros de trabajo: el tipo de ataques conocidos como phishing lateral.
Y cuando un correo electrónico de phishing proviene de una cuenta interna, la gran mayoría de los sistemas de seguridad de correo electrónico no pueden detenerlo. Los sistemas de seguridad existentes en gran medida detectan ataques cibernéticos que provienen del exterior, basándose en señales como IP y reputación de dominio, que sonineficaz cuando el correo electrónico proviene de una fuente interna. Los ataques de phishing laterales también son costosos. Los datos del FBI muestran, por ejemplo, que estos ataques cibernéticos causaron más de $ 12 mil millones en pérdidas entre 2013-2018. Y en los últimos dos años, los ataques han resultadoen un aumento del 136 por ciento en pérdidas.
Para aliviar este problema creciente, el miembro del Instituto de Ciencia de Datos Asaf Cidon ayudó a desarrollar un prototipo de un detector basado en aprendizaje automático que detecta y detiene automáticamente los ataques de phishing laterales.
El detector usa varias funciones para detener los ataques, incluida la detección de si el destinatario se desvía de alguien con quien un empleado se comunicaría normalmente; si el texto del correo electrónico es similar a otros ataques de phishing conocidos; y si el enlace es anómalo. El detector puede detectar elLa gran mayoría de estos ataques con una alta tasa de precisión y una baja tasa de falsos positivos: menos de cuatro falsos positivos por cada millón de correos electrónicos enviados por los empleados.
Cidon formó parte de un equipo de investigación que analizó un conjunto de datos de 113 millones de correos electrónicos enviados por empleados de casi 100 empresas. También caracterizaron 147 incidentes de phishing laterales, cada uno de los cuales involucró al menos un correo electrónico de phishing. El estudio se realizó conjuntamente con BarracudaNetworks, una compañía de seguridad de red que proporcionó datos sobre sus clientes a los investigadores con el objetivo de desarrollar un detector para phishing lateral.
Los investigadores también escribieron un artículo sobre el estudio, Detección y caracterización del phishing lateral a escala, que recientemente ganó un Premio de papel distinguido en Usenix Security 2019, una conferencia líder en seguridad cibernética.
"Los ataques analizados en este estudio representan uno de los tipos de ciberataques más difíciles de detectar automáticamente, ya que emanan de la cuenta de un empleado interno", dijo Cidon, profesor asistente de ingeniería eléctrica y ciencias de la computación afiliado conjuntamenteen Columbia Engineering y como miembro del Data Science Institute. "La clave para detener estos ataques dirigidos por ingeniería social es utilizar métodos basados en el aprendizaje automático que puedan depender del contexto único del remitente, el destinatario y la organización".
Cuando los atacantes lanzan un ataque de phishing, su objetivo es convencer al usuario de que el correo electrónico es legítimo y convencerlo de que realice una determinada acción. Por lo tanto, qué mejor manera de convencer a un usuario de que un correo electrónico es legítimo que usar unhackeó la cuenta de correo electrónico de un colega que conocen y en quien confían. Y en el phishing lateral, los atacantes aprovechan una cuenta de correo electrónico comprometida para enviar correos electrónicos de phishing a otros usuarios de la organización, beneficiándose de la confianza implícita de colegas y la información en la cuenta del usuario secuestrado.clasificadores que Cidon ayudó a desarrollar para buscar anomalías en los patrones de comunicación. Por ejemplo, los clasificadores marcarían a un empleado enviando repentinamente una ráfaga de correos electrónicos con enlaces oscuros o un empleado eliminando sistemáticamente correos electrónicos de sus carpetas de elementos enviados, tratando de enmascarar susestafas
Aprovechando este tipo de ataques de phishing, así como de una colección de incidentes reportados por los usuarios, los investigadores utilizaron el aprendizaje automático para cuantificar la escala del phishing lateral, identificando el contenido temático y las estrategias de orientación de destinatarios que utilizaron los atacantes.para caracterizar dos estrategias que los atacantes utilizaron para adaptar sus ataques: la adaptación de contenido y nombre La adaptación de contenido es cómo el atacante adapta el contenido del correo electrónico para obligar al destinatario a hacer clic en el enlace y caer en el correo electrónico de phishing.descubrieron que era un contenido genérico de suplantación de identidad por ejemplo, "Recibiste un nuevo documento, haz clic aquí para abrirlo". Pero también descubrieron que algunos atacantes adaptaron el correo electrónico al contexto específico de la organización por ejemplo, "Por favor, vea el documento adjuntoanuncio sobre el 25 aniversario de Acme ". La adaptación de nombres es cómo los atacantes personalizan el correo electrónico a un destinatario utilizando su nombre y función en la organización por ejemplo, "Bob, revise la orden de compra adjunta", y en este caso Bob trabaja en contabilidad.
Algunos hallazgos clave de su análisis de más de 100 millones de correos electrónicos que comprometieron a casi 100 organizaciones incluyen :
Más del 10 por ciento de los incidentes resultan en un compromiso interno adicional exitoso este es un porcentaje de órdenes de magnitud mayor que los ataques que se originan externamente.
La mayoría de los ataques son correos electrónicos de phishing relativamente simples. Pero un porcentaje significativo de los atacantes adaptan sus correos electrónicos de acuerdo con el rol del destinatario y el contexto de la organización.
Más del 30 por ciento de los atacantes se involucran en algún tipo de comportamiento sofisticado: ya sea ocultando su presencia en el ataque por ejemplo, eliminando correos electrónicos salientes o interactuando con el destinatario del ataque para asegurarse de que sea exitoso. Cidon dice que estos tiposde los ataques representan la nueva frontera del delito cibernético: ataques altamente personalizados donde los atacantes están dispuestos a pasar días y semanas "haciendo reconocimiento".
"En este estudio nos centramos en el phishing lateral basado en enlaces", agrega Cidon. "Sin embargo, todavía hay mucho trabajo por hacer para explorar ataques sin enlaces o ataques que combinen otros medios sociales como mensajes de texto y voz. Pero esperamos que nuestro detector ayude a combatir el creciente flagelo de los ataques de phishing laterales ".
Fuente de la historia :
Materiales proporcionado por Instituto de Ciencia de Datos en Columbia . Original escrito por Robert Florida. Nota: El contenido puede ser editado por estilo y longitud.
Cita esta página :